浅谈目前各单位、公司的数据安全状况
资产
资产状况不清楚
- 那些是数据资产?
- 有多少数据资产?
- 数据资产变化趋势、何时发生变化、预计的变化方向?
- 数据资产应该怎么分类、分为哪几类?
- 数据资产的存储情况?
数据资产使用不清楚
- 谁使用数据资产、怎么使用?
- 数据资产的使用频率、使用热度?
- 敏感数据的使用情况?
- 沉寂数据有多少、怎么处理?
- 数据备份情况、能否正常恢复数据?
权限混乱
- 数据资产的权限划分?
- 是否有越权访问行为?
- 权限账号分配?
- 权限账号使用情况、联合使用情况、账号自身安全情况?
管理
数据资产管理角色
- 数据所有者、数据使用者、数据安全负责人?
- 数据库管理员、数据资产管理员、数据安全审计员、数据安全检测员、数据运维工程师、权限管理员?
数据全生命周期的管理
- 谁收集、怎么收集、为什么收集?
- 怎么传输?
- 怎么使用、谁使用、使用后得到什么结果?
- 怎么存储、预计存储时间、为什么存储、后续怎么使用、怎么备份?
- 何时销毁、怎么销毁、谁负责销毁?
- 如何共享、和谁共享、公开条件、提取条件?
制度
总体制度
- 是否有数据安全管理制度?
- 数据安全管理制度是否可执行、可落地?
- 管理制度是否落地实施?
考核
- 是否对执行情况进行考核?
- 是否有稽查手段进行执行情况审查?
- 是否根据考核情况优化数据安全管理?
技术
数据安全技术不足
- 如何脱敏、加密、去标识化、匿名化、假名化、哈希化?
- 如何让将数据安全技术融合进业务功能?
- 那些数需要进行安全处理?
- 如何防泄漏、防篡改、防破坏、防窃听、防滥用?
- 如何自动化审计数据的收集、传输、存储、使用等?
技术统一性
- 各部门业务是否都建设了统一的数据安全能力?
审计
- 数据安全全生命周期的审计?
- 谁负责审计、怎么审计、审计结果如何处理?
- 审计标准是什么?
